Российские хакеры рассылают письма с вредоносным софтом, пользуясь сбоем "Киевстара"

Елена Рощина — Пятница, 22 декабря 2023, 14:21

Киберпреступники, иллюстрация Госспецсвязи

Российские хакеры группировки UAC-0050 используют ситуацию с "Киевстаром" при рассылке украинцам писем с вредоносным программным обеспечением – в виде архивных файлов с названиями "Задолженность абонента", "Запрос", "Документы" и тому подобным, предупреждает Госспецсвязи.

Источник: Государственная служба специальной связи и защиты информации Украины и правительственная команда реагирования на компьютерные чрезвычайные события Украины CERT-UA

Дословно Госспецсвязи: "Хакеры продолжают использовать проблемы, которые волнуют тысячи украинцев, для распространения вредоносного программного обеспечения. На этот раз специалисты Правительственной команды реагирования на компьютерные чрезвычайные события Украины CERT-UA зафиксировали массовую рассылку электронных писем с тематикой "задолженности по договору Киевстар" и вложением в виде архива "Задолженность абонента.zip".

На электронные почты украинцев приходили письма по "Задолженности по договору Киевстар", которые содержали вложения в виде архива "Задолженность абонента.zip" с приложениями в виде вложенных защищенных паролем RAR-архивов.

Кроме того, в CERT-UA зафиксировано распространение писем по теме "Запрос СБУ" и вложением в виде архива "Документы.zip". Он содержит защищенный паролем RAR-архив "Запрос.rar" с исполняемым файлом "Запрос.exe". Открытие архива и запуск файла, как и в предыдущем случае, приводят к поражению программой удаленного доступа RemcosRAT".

Детали: Утром 12 декабря произошел масштабный сбой в работе оператора мобильной связи "Киевстар".

ВИДЕО ДНЯ

А 21 декабря команда CERT-UA зафиксировала массовое распространение электронных писем с тематикой "Задолженности по договору Киевстар" и вложением в виде архива "Задолженность абонента.zip".

Указанный ZIP-архив содержит разделенный на 2 части RAR-архив "Задолженность абонента.rar", в котором находится одноименный архив защищенный паролем. В последнем находится документ с макросом "Задолженность абонента.doc".

В случае активации код макроса с помощью обозревателя файлов (explorer.exe) с использованием протокола SMB осуществит загрузку на ЭВМ и запуск файла "GB.exe".

В свою очередь, указанный файл является SFX-архивом, содержащим BATCH-скрипт для загрузки с сервиса bitbucket и запуска исполняемого файла "wsuscr.exe", обфускованного с помощью SmartAssembly .NET, назначением которого является дешифровка и запуск программы для удаленного управления RemcosRAT (идентификатор лицензии: 5639D40461DCDD07011A2B87AD3C9EDD).

Кроме того, зафиксировано распространение писем с темой "Запрос СБУ" и вложением в виде архива "Документы.zip", содержащего защищенный паролем и разделенный на 3 части RAR-архив "Запрос.rar". В последнем находится исполняемый файл "Запрос.exe". В случае открытия такого архива и запуска исполняемых файлов ЭВМ может быть поражена программой RemcosRAT (идентификатор лицензии: 5639D40461DCDD07011A2B87AD3C9EDD).

Кроме типичного для UAC-0050 размещения серверов управления RemcosRAT на технической площадке малазийского хостинг-провайдера Shinjiru, они также размещены в пределах автономной системы AS44477 (STARK INDUSTRIES SOLUTIONS LTD).

По данным Госспецсвязи, это не первая подобная атака группировки UAC-0050.

Недавно киберзлоумышленники осуществляли рассылку писем о "судебных претензиях" и "задолженности". Объектом атаки стали пользователи из Украины и Польши.

Группа UAC-0050 также пыталась похищать данные, маскируясь под МИД Украины, делала вредоносные рассылки якобы от СБУ, Печерского райсуда Киева, "Укртелекома".

В прошлом году также были зафиксированы рассылки электронных писем с вредоносным вложением якобы от имени ГСЧС, пресс-службы Генштаба ВСУ, СБУ, от имени Госспецсвязи и даже от CERT-UA.